Certificação

Nas entrevistas anteriores com Charles Guillemet, discutimos nosso programa de recompensas e o laboratório de ataque , ambos com o objetivo de melhorar continuamente nossa segurança. Na última edição de nossos artigos focados em segurança, estamos analisando mais de perto as certificações.

O que é certificação de segurança?

De um modo geral, a certificação é usada para mostrar que um produto passou por avaliação de terceiros e atingiu um determinado padrão . Quando se fala em tecnologia de segurança, a certificação é usada para mostrar que um hardware ou software específico passou por testes extensivos atende a um determinado padrão de segurança .

Nossas carteiras de hardware Ledger usam chips Secure Element de última geração , que são usados ​​para soluções de segurança de ponta para a proteção de dados críticos , como cartões de crédito, passaportes e TV por assinatura. Esses chips são certificados pelo seu alto nível de segurança. Para esses aplicativos, ter esse nível de segurança é um requisito de terceiros. Para carteiras de hardware, esse requisito não existe. Na Ledger, acreditamos que é nossa responsabilidade fornecer o mais alto nível de segurança.

Os elementos seguros usados ​​nos dispositivos Ledger passaram na avaliação de segurança Common Criteria – um padrão internacional para cartões bancários e requisitos de estado – e obtiveram um certificado EAL5 +.

Quais são os níveis de certificação EAL?

Existem sete níveis diferentes de EAL, que é a abreviação de Evaluation Assurance Level .

Como mencionado, o nível EAL dos Elementos Protegidos que usamos é 5+. Nesse contexto, o modelo de ameaça considera o acesso remoto e físico do invasor. Durante o processo de avaliação do EAL, vários elementos são levados em consideração, tais como:

– ciclo de vida / cadeia de fornecimento

– Procedimento de desenvolvimento

– Documentação

– Teste funcional

– Teste de penetração

Atingir o EAL 5+ garante ter o mais alto nível de segurança contra testes de penetração . Ir além do EAL 5+ não oferece mais garantia contra ataques. Existem muitos tipos de certificações. O EAL é um certificado reconhecido internacionalmente, mas certificados nacionais e até mesmo locais podem existir.  

Por que a certificação é importante?

Qualquer um pode reivindicar ter um dispositivo seguro, mas é difícil confiar nessa afirmação. Por meio de certificados, um terceiro independente avaliou a reivindicação.

O que o Ledger faz em relação à certificação?

Estamos actualmente a trabalhar na obtenção de uma certificação para o Ledger Nano S .

O processo de revisão da certificação é longo e rigoroso. Nenhuma carteira de hardware obteve certificados de segurança. Sob o lema “não confie, verifique” , acreditamos firmemente na verificação de nossas reivindicações de segurança para nossos clientes, em vez de acreditar em nossa palavra. É por isso que os elementos seguros que estamos usando são certificados pelo EAL5 + e por que estamos trabalhando para obter um certificado para o dispositivo como um todo.


Sobre Charles Guillemet:

Charles ingressou na Ledger em 2017 como diretor de segurança após trabalhar por 10 anos no setor de criptografia e segurança de hardware. Charles possui um Master of Science em Criptografia e Segurança na Escola de Engenharia ENSIMAG, com especialização em Criptografia e Segurança, onde é agora professor.

 

Originalmente publicado em: https://www.ledger.fr/2019/03/18/keeping-our-edge-certification/

 

Mais vendidos!